ChatGPT武器化助力、工具PaaS化領跑：網絡釣魚態勢急劇惡化防不勝防

人工智能和網絡釣魚即服務 (PaaS) 工具包使威脅行為者更容易創建惡意電子郵件活動，這些活動繼續以使用流行品牌名稱的高容量應用程序為目標。網絡釣魚正盛行，2022年下半年活動量激增。事實上，根據本周的一項分析，下半年網絡釣魚電子郵件總數增加了61%。這也可能會加速，因為ChatGPT和其他新工具的興起也在該領域留下了自己的印記。

這是根據電子郵件安全公司Vade于2月9日發布的“ 2022年第四季度網絡釣魚和惡意軟件報告”得出的結論。網絡釣魚數量在第三季度和第四季度之間增長了36%，研究人員在今年的最后三個月跟蹤了2.783億封獨特的網絡釣魚電子郵件。

研究人員發現，惡意軟件數量總體上也有所增加，每季度增長12%，Vade在2022年第四季度檢測到5890萬封包含惡意軟件的電子郵件。

內容營銷經理Todd Stansfield在報告中指出，電子郵件仍然是傳播網絡釣魚和惡意軟件的主要渠道，為黑客提供了一種方便、可擴展且高效的工具來利用用戶和破壞帳戶。

他寫道：“電子郵件威脅活動持續增加，導致各種規模的組織都需要加強其網絡安全。”

該報告稱，按月細分數字，網絡釣魚數量在第四季度上半段保持相對穩定，10月跟蹤了6230萬封網絡釣魚電子郵件，11月跟蹤了4700萬封網絡釣魚電子郵件。

然后，就像每年假期期間的典型情況一樣——網絡釣魚者使用一系列年終和假期主題的誘餌來試圖誘捕受害者——12月的網絡釣魚電子郵件數量大幅增加，達到1.69億封，環比增長260%——研究人員發現，超過一個月的增長。他們說，這種模式類似于2021年第四季度發生的情況。

可靠的目標和戰術

考慮到企業用戶當前的工作和協作方式，網絡釣魚威脅參與者在他們的目標對象和攻擊方式方面并沒有變得特別有創意。

他們報告說，Facebook連續第二個季度成為被模仿的頂級品牌，研究人員在2022年第四季度觀察到6,700個獨特的網絡釣魚URL冒充這家社交網絡巨頭。緊隨其后的是Microsoft、PayPal、Google和Netflix，它們是威脅行為者更喜歡模仿的品牌。

研究人員發現，就目標而言，攻擊者繼續在針對生產力應用程序的活動中發現價值，他們擁有廣泛的企業用戶群，并且最有可能取得成功。根據Vade的說法，擁有超過3.45億用戶的Microsoft 365和第二受歡迎的生產力套件Google Workspace繼續成為網絡釣魚者2022年下半年的首要目標。

“隨著生產力套件的日益普及，用戶越來越多地使用電子郵件來訪問和使用文件共享和即時消息等生產力應用程序，”斯坦斯菲爾德寫道，并補充說威脅行為者已經注意到并正在制定網絡釣魚活動以針對特定行為企業生產力套件用戶。

人工智能和新工具支持網絡釣魚

研究人員發現，雖然網絡釣魚活動的某些方面保持不變，但此類威脅的其他方面正在發生變化。特別是，由于更復雜的網絡釣魚即服務 (PaaS)工具包以及人工智能平臺ChatGPT的迅速普及，新工具的出現可以使任何人(即使技能有限)成為網絡釣魚威脅參與者。

“通過購買網絡釣魚工具包，新手黑客可以針對他們的目標部署極具說服力和有效的計劃，”斯坦斯菲爾德承認。

研究人員表示，這些工具包最近的一項改進是能夠根據受害者的母語自動本地化網絡釣魚頁面，這是一種方便的工具，可以讓威脅行為者快速瞄準各個地區，而無需自己會多種語言。

該功能通過識別目標用戶瀏覽器的語言設置并利用它相應地更新和顯示網絡釣魚頁面來工作。Vade表示，在提高每次網絡釣魚攻擊的上下文準確性的同時，新功能還使黑客能夠使用單個工具包跨多種語言瞄準用戶，從而擴大其活動的范圍。

ChatGPT自 2022年11月下旬以來席卷全球，引發了對其可能加劇網絡威脅形勢嚴重性和復雜性的合理擔憂。生成式AI工具的迅速崛起標志著善與惡之間正在進行的網絡安全軍備競賽的最新發展，攻擊者和防御者都在不斷尋找可以提供競爭優勢的下一個突破性AI/ML技術。

根據Vade分析師的說法，ChatGPT——可以幫助任何人生成即時、大量內容的聊天機器人，自OpenAI去年11月發布以來，它已經因其網絡安全影響而臭名昭著——也正在成為網絡釣魚者最好的朋友。

他們說，黑客可以將ChatGPT武器化，通過使用使AI工具能夠在幾秒鐘內編寫網絡釣魚電子郵件和惡意代碼的命令來有效地生成復雜的網絡釣魚工具包。近日已有ChatGPT的內容限制被越獄的報道。根據CNBC的一份報告，這個名為DAN(Do Anything Now)的提示使用ChatGPT的令牌系統來對抗它。該命令為它無法解析的ChatGPT創建了一個場景，允許DAN繞過ChatGPT中的內容限制。

保護企業免受網絡釣魚

盡管網絡釣魚是最古老的網絡犯罪活動形式之一，但絲毫沒有停止的跡象，很明顯，企業需要像攻擊者一樣順應技術格局的變化。

“在過去的一年里，十分之七的企業經歷了嚴重的數據泄露，繞過了他們的電子郵件安全，”斯坦斯菲爾德引用Vade之前的研究指出。

此外，網絡釣魚的問題在于，它不僅以攻擊者放棄憑據而告終，而且最終，他們可以使用這些憑據作為進入公司網絡的方式來竊取數據、分發勒索軟件和其他惡意軟件，并參與其他惡意活動活動。

研究人員表示，企業需要超越傳統的電子郵件安全解決方案，采用能夠應對攻擊者更復雜策略的解決方案。斯坦斯菲爾德說，具體來說，可以提供“使用最新威脅情報和一組核心人工智能技術對已知和未知威脅進行預測性防御”的協作和人工智能增強解決方案是未來的方向。

事實上，正如AI通過ChatGPT等技術為攻擊者提供支持一樣，它也可以為企業提供新型安全保護，Vade的聯合創始人兼首席技術和產品官 Adrien Gendre告訴Dark Reading。

“另一方面，我們使用人工智能來檢測電子郵件中的異常情況，從內容本身到這些電子郵件中可能包含的文件的行為，”他說。“在你所謂的好AI和壞AI之間將會有一場戰斗。”

如果網絡釣魚電子郵件確實通過了組織的安全保護措施，那么培訓員工在點擊之前識別網絡釣魚電子郵件也可能是一種可靠的方法，可以在發生之前防止憑據或惡意軟件受損，網絡風險管理公司Tenable的高級研究經理Scott Caveza告訴Dark Reading。

“網絡釣魚攻擊繼續取得成功，因為它們針對的是我們在安全方面最薄弱的環節，即人類，”他說。“無論電子郵件的作者是誰，無論是人工智能還是真人，組織都需要投資和開發成熟的安全計劃，其中安全意識培訓，包括發現網絡釣魚攻擊的具體培訓，是組織的優先事項。”

參考資源

1、https://www.darkreading.com/vulnerabilities-threats/bolstered-chatgpt-tools-phishing-surged-ahead

2、https://www.vadesecure.com/en/blog/q4-2022-phishing-and-malware-report

來源：網空閑話